Masquerading/NAT mit Iptables – 2. Zugang Einschraenken / Openvpn

Den Zugang Einschraenken




Manchmal will man auch nur bestimmten Rechnern aus dem internen Netz(eth1) den Zugang zum Internet ermoeglichen. Der erste Schritt ist alle Einstellungen in Iptables auf Null zu stellen.

iptables -F
iptables -X
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -t raw -F
# Diese Anweisungen Loeschen (Flush) die Chains

iptables -t filter -A FORWARD -i eth1 -s 192.168.50.107 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.50.107 -j MASQUERADE

#Die erste Anweisung oeffnet die Forward Chain auf eth1 ausschliesslich
#fuer Pakete vom Absender 192.168.50.107 .
#Mit der zweiten Anweisung wird das Masquerading fuer die Pakete von der
#Quelladresse 192.168.50.107 aktiviert.
#Auf diese Weise wird der Zugang ins Internet anhand der IP ermoeglicht.

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
#Danach werden die INPUT und OUPUT Chain gespert. Erlaubt ist dann nur noch was vorher
#angegeben wurde.


Proxys Tunneln – openvpn


Manchmal befindet man sich in Netzen in denen der Zugang zum Internet nur ueber einen Proxy moeglich ist. Mit openvpn ist es moeglich Verbindungen auch ueber einen Proxy aufzubauen. Diese sind von verschluesselten https Verbindungen schwer zu unterscheiden. Als ich das erstemal danach gesucht habe war in den Beschreibungen die Rede von „Fucking the White Bunny Rabbit“. Gemeint ist das die Unterscheidung zwichen „normalen“ https Traffic und openvpn Traffic ueber einen Proxy so schwierig ist das manch jemand meint mit weissen Kaninchen zu tun zu haben.

Normalerweise verwendet openvpn den Port 1194 zur Kommunikation zwichen Client und Server. Die meisten Proxy Server wuerden einen solchen Zugriff sofort verwerfen. In so einem Szenario verbindet sich der Openvpn Client mit dem Port 445 des Openvpn-Servers. Der openvpn Server Dienst laeuft aber ueblicherweise auf Port 1194 . Hier kommt iptables ins Spiel. Mithilfe der folgenden Anweisung:


iptables -A PREROUTING -i eth0 -p tcp -m tcp –dport 443 -j DNAT –to-destination 192.168.10.127:1194


werden Pakete die an Port 445 des openvpn-servers gerichtet sind auf den Port 1194 umgeleitet.

Eine Beschreibung inclusive config Files fuer openvpn findet sich hier:
How to OpenVPN over Proxy